Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Autorizzazione al trattamento di dati giudiziari riferiti ai dipendenti - 19 gennaio 2017 [5953097]

[doc. web n. 5953097]

Autorizzazione al trattamento di dati giudiziari riferiti ai dipendenti - 19 gennaio 2017

Registro dei provvedimenti
n. 10 del 19 gennaio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice") ed in particolare l´articolo 4, comma 1, lett. e), del Codice, contenente la definizione di "dati giudiziari";

VISTO il d.P.R. 14 novembre 2002, n. 313 (recante il Testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti);

VISTA la richiesta di Sogei – Società Generale d´Informatica S.p.A. (di seguito, la società), ente strumentale a totale partecipazione del Ministero dell´Economia e delle Finanze, preposto  al  settore dell´lnformation and Communication Technology- (ICT) in ambito pubblico, relativa al trattamento dei dati giudiziari "in relazione ad alcune figure di dipendenti e dirigenti della Società in ragione dell´attività svolta"(cfr., istanza del 18 luglio 2016);

VISTO quanto rappresentato dalla società in ordine alla tipologia dei dati giudiziari che sarebbero oggetto del prospettato trattamento in relazione alla finalità indicata e le modalità con le quali si intende trattare i dati eventualmente acquisiti (cfr., istanza e successive integrazioni del 4 novembre e 14 dicembre 2016, in atti);

CONSIDERATO che tale richiesta di autorizzazione viene giustificata dalla società in base al quadro normativo vigente ed attraverso una descrizione del proprio ruolo istituzionale;

CONSIDERATO più in generale il novero delle funzioni e delle attività svolte dalla società, come emergono anche dalla predetta descrizione, ed in particolare che:

- ad essa  è attribuita da specifiche disposizioni normative la implementazione e gestione di servizi strumentali all´esercizio delle funzioni pubbliche facenti capo al Ministero dell´Economia e delle Finanze e ogni altra attività di carattere informatico in aree di competenza di tale dicastero e delle Agenzie Fiscali, così come lo svolgimento di ogni attività finalizzata alla realizzazione, sviluppo, manutenzione e conduzione tecnica del Sistema Informativo della Fiscalità per l´amministrazione finanziaria;

- è qualificata "infrastruttura critica di interesse nazionale"(d.m. 9 gennaio 2008) ed ha sottoscritto una convenzione con il Centro Nazionale Anticrimine informatico per la Protezione delle infrastrutture critiche (unità del Servizio di Polizia Postale e delle Comunicazioni del Dipartimento della Pubblica Sicurezza presso il Ministero dell´Interno);

- gestisce le attività informatiche riservate allo Stato (ai sensi del  d.lg. 19 novembre 1997, n. 414), nonché le attività di sviluppo e gestione dei sistemi informatici delle amministrazioni pubbliche, svolte precedentemente da Consip S.p.A. che sono state trasferite mediante operazione di scissione, alla  società (art. 4, comma 3-bis del d.l. 6 luglio 2012, convertito, con modificazioni, dall´art. 1, comma 1della legge 7 agosto 2012, n, 135); a seguito di tale trasferimento, la società eroga attività informatiche anche per quanto concerne i sistemi informativi del Dipartimento del Tesoro e del Dipartimento della Ragioneria Generale dello Stato;

- svolge ulteriori attività, attribuite di volta in volta da specifiche disposizioni di legge o di regolamento, per conto di Regioni, Enti locali, società a partecipazione pubblica o altri organismi o enti che svolgono attività di interesse pubblico, istituzioni internazionali e sovranazionali, amministrazioni pubbliche estere, nonché le attività per l´Agenzia per l´Italia Digitale (AgID);

- rende servizi e/o gestisce le banche dati delle agenzie fiscali (Agenzia delle Entrate, Agenzia delle Dogane, Agenzia del Territorio e del Demanio), dell´Amministrazione Autonoma dei Monopoli di Stato, del Dipartimento delle Finanze, della Guardia di Finanza, della Scuola Superiore dell´Economia e delle Finanze, degli uffici di diretta collaborazione del Ministro (Gabinetto e SECIN – Servizio di controllo interno) ed di Equitalia S.p.A.;

- tratta e gestisce "Informazioni Classificate, in relazione allo specifico livello di segretezza attribuito"; in tale quadro, il DIS - Dipartimento Informazioni per la Sicurezza, istituito presso la Presidenza del Consiglio dei Ministri, ha autorizzato la società all´istituzione di una "Segreteria principale di Sicurezza NATO-UE/S", la quale è legittimata a trattare documenti fino al livello di classifica Segreto NATO/UE; svolge funzioni di raccordo con l´Ufficio Centrale per la Segretezza (UCSe) del DIS; è preposta alla protezione e alla tutela delle informazioni classificate;

- conserva e custodisce i dati dell´intera Anagrafe Tributaria, trattando, pertanto, un enorme volume di dati personali, per gestire in modo automatizzato le attività di controllo delle dichiarazioni e di monitoraggio del prelievo fiscale;

- in quanto organismo di diritto pubblico, amministrazione aggiudicatrice e in quanto società interamente partecipata dal Ministero dell´Economia e delle Finanze  ha per oggetto prevalente la prestazione "in house" di servizi strumentali all´esercizio di funzioni pubbliche (art. 59 d.lg. 30 luglio 1999, n. 300; art. 83, comma 15, d.l. 25 giugno 2008, n. 112, conv con mod. in l. 6 agosto 2008, n. 133, nonché art. 4 Statuto della società);

- si occupa della progettazione, implementazione e gestione dell´Anagrafe Nazionale della Popolazione Residente (ANPR) nonché di tutte le attività connesse e strumentali per conto del Ministero dell´Interno;

- gestisce, su affidamento della Ragioneria Generale dello Stato, il Sistema nazionale per il monitoraggio della spesa sanitaria (Sistema TS) con l´obiettivo di controllare la correttezza della spesa in relazione alle componenti farmaceutica e specialistica a carico del Sistema Sanitario Nazionale (Legge finanziaria n. 326 del 2003);

- l´attività della società è, più in generale, ascritta all´ambito dei servizi pubblici essenziali (l. n. 146/ 1990).

PRESO ATTO quindi che nel contesto attuale la società coopera con i propri clienti istituzionali in settori altamente strategici per il Paese, tratta un enorme volume di dati personali, rivestendo un ruolo centrale nel processo di digitalizzazione e di interoperabilità tra le pubbliche amministrazioni anche mediante servizi integrati;

VISTO che la società ha evidenziato "la necessità, a tutela della propria affidabilità nonché a tutela delle Amministrazioni affidatarie e dei cittadini italiani, di poter verificare la sussistenza ed il permanere dei requisiti di affidabilità e onorabilità di quei dipendenti e dirigenti, posti in posizione apicale o in ruoli di particolare significatività e sensibilità all´interno dell´azienda, attraverso la richiesta diretta dei loro dati giudiziari" nonché "la necessità di assicurare il massimo della continuità e dello standard della prestazione dei servizi pubblici erogati ai fini di utilità generale e in tale ottica rientra anche la verifica dell´affidabilità del proprio personale posto in funzioni strategiche per l´azienda e, di conseguenza, per il Paese";

CONSIDERATO che la società ha precisato che "il numero complessivo dei soggetti sui quali […] intende poter esercitare tali controlli è di circa 116 persone, pari al 5% circa della forza lavoro" e che "ritiene necessario acquisire direttamente presso gli Uffici giudiziari, a campione e in una misura non superiore al 15-20% degli interessati il certificato penale del casellario giudiziale di cui agli artt. 23, 27 e 28 del d.P.R. 14 novembre 2002, n. 313" (cfr. nota 14.12.2016, cit.);

CONSIDERATO altresì che la società ha dichiarato di avere in corso di elaborazione una procedura aziendale che "correla gli esiti delle verifiche […] al codice disciplinare"(nota 14.12.2016, cit.) e si è impegnata a fornire al personale interessato un´idonea informativa di tale acquisizione e del successivo trattamento dei dati ai sensi dell´articolo 13 del Codice;

VISTO l´articolo 27 del Codice, in base al quale i soggetti privati possono trattare i dati giudiziari soltanto se autorizzati da espressa disposizione di legge o da provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili e che il medesimo Codice ha individuato in via generale una specifica finalità di rilevante interesse pubblico, nell´ambito della più ampia finalità di "gestione del rapporto di lavoro", consistente nella finalità di "accerta[mento del…] possesso di particolari requisiti previsti per l´accesso a specifici impieghi […]" (cfr., art. 112, comma 2, lett. c) del Codice);

VISTA l´autorizzazione del Garante n. 7 del 2016 relativa al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici (pubblicata in G.U. n. 303 del 29 dicembre 2016, in www.garanteprivacy.it, doc. web n. 5803630) , che consente ai soggetti che sono parte di un rapporto di lavoro o che comunque utilizzano prestazioni lavorative di trattare dati giudiziari riferibili a coloro i quali "hanno assunto o intendono assumere la qualità di lavoratori subordinati" nella misura in cui il trattamento sia "indispensabile per[...] adempiere o esigere l´adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi, anche aziendali" e "ai soli fini della gestione del rapporto di lavoro" (cfr. capo I, nn.1 e 2 autorizzazione cit.);

CONSIDERATO il ruolo della società nella gestione di sistemi e banche dati strategiche per il Paese, contenenti dati personali ed informazioni relative a tutta la popolazione italiana;

CONSIDERATO che il trattamento dei dati giudiziari in parola appare necessario per l´esercizio delle funzioni di Sogei e, in particolare, si rinvengono, nel caso concreto, rilevanti finalità di interesse pubblico in forza delle quali poter consentire le operazioni di trattamento oggetto dell´istanza; tali finalità sono da individuarsi nella necessità che la società garantisca elevati livelli di sicurezza nel trattamento dei dati, anche mediante l´accertamento del possesso di requisiti o presupposti di affidabilità (nonché la verifica della permanenza nel tempo dei medesimi) per lo svolgimento di determinati incarichi o funzioni nonché di ruoli di particolare significatività e sensibilità all´interno della società, tenuto conto della particolare delicatezza delle operazioni di trattamento connesse all´attività della società con specifico riferimento all´accesso a sistemi e banche dati strategiche per il Paese (arg. ex artt. 11, comma 1, lett. a), 27 del Codice);

VALUTATA anche l´esigenza di garantire la continuità di funzionamento degli specifici servizi in ambito pubblico erogati dalla società, tenuto anche conto della delicatezza nonché del volume dei dati trattati;

CONSIDERATO che, come emerso nel corso degli approfondimenti condotti nel corso dell´istruttoria, il quadro normativo in materia di accesso al casellario giudiziale stabilisce che "le amministrazioni pubbliche e i gestori di pubblici servizi hanno diritto di ottenere i certificati di cui all´articolo 23 e all´articolo 27, nonché all´articolo 28-bis, relativo a persone maggiori di età, quando tale certificato è necessario per l´esercizio delle loro funzioni" (art. 28, d.P.R. n. 313/2002, cit.) e che "le modalità tecnico operative per consentire alle amministrazioni pubbliche e ai gestori di pubblici servizi, eventualmente con differenziazioni territoriali e per tipo di certificato, la consultazione del sistema […] ai fini dell´acquisizione dei certificati di cui agli articoli 28, 28-bis e 32 […] sono individuate con decreto dirigenziale del Ministero della Giustizia […]" (art. 39, d.P.R. cit.; decreto direttoriale del Ministero della Giustizia 5.12.2012 sulle regole procedurali tecnico-operative per la consultazione diretta del sistema informativo del Casellario, anche ai fini dell´acquisizione del "certificato selettivo ex articolo 39" citato di cui all´art. 4, comma 1, lett. b), del citato decreto);

RILEVATO che il novero delle fattispecie di reato rispetto alle quali la società si riserva di effettuare le menzionate verifiche potrebbe essere ulteriormente circoscritto (cfr. nota 14.12.2016, cit. e si veda, ad esempio, il generico riferimento ai "reati contro il patrimonio");

RITENUTO, pertanto, opportuno che la società, in applicazione del principio di indispensabilità (v. artt. 3 e 11, comma, 1, lett. d) del Codice e Aut. gen. n. 7/2016, cit.), meglio puntualizzi l´ambito oggettivo del trattamento, individuando tassativamente il novero delle fattispecie di reato oggetto di verifica rispetto alle esplicitate finalità, con riguardo a reati di particolare gravità tali da incidere sui profili di onestà e di correttezza del dipendente in relazione alle specifiche funzioni o mansioni a questi assegnate; in tale prospettiva la valutazione dovrà essere effettuata con particolare riferimento ai delitti contro il patrimonio e ai delitti contro la personalità interna dello Stato;

RITENUTO che sotto il medesimo profilo dell´indispensabilità dei dati appare opportuno procedere ad una ulteriore valutazione dell´ambito soggettivo del trattamento rispetto alla specifica tipologia di incarichi, funzioni o ruoli assegnati alle figure dirigenziali come definite dalla società ("titolari di incarichi dirigenziali, posti in posizione apicale a diretto riporto del vertice aziendale e responsabili di primo livello, intendendosi come tali i dirigenti a diretto riporto dei direttori competenti"(cfr. nota 14.12.2016, cit.);

RITENUTO che ai fini dell´acquisizione dei dati in parola dovranno essere osservate le disposizioni di cui agli articoli 28 e 39, d.P.R. 14 novembre 2002, n. 313;

CONSIDERATA la necessità di garantire il rispetto dei princìpi e delle cautele individuati nella predetta Autorizzazione n. 7, volti a ridurre al minimo i rischi di danno o di pericolo che i predetti trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e in particolare, per il diritto alla protezione dei dati personali sancito dall´articolo 1 del Codice e che la società con riferimento alla conservazione dei dati è comunque tenuta al rispetto delle prescrizioni previste dal Capo VII della citata Autorizzazione n. 7;

CONSIDERATO che il trattamento potrà essere effettuato dalla società previo rilascio di apposita informativa agli interessati ai sensi dell´articolo 13 del Codice e dovrà essere effettuato dalla società nel rispetto degli articoli 29, 30, 31 e ss. del Codice;

VISTO l´articolo 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

PRESO ATTO quindi che il trattamento in parola risulta necessario, ai sensi dell´articolo 28 del d.P.R. 14 novembre 2002, n. 313, all´esercizio delle funzioni proprie di Sogei;

VISTO l´articolo 27 del Codice;

VISTI gli atti d´ufficio;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´articolo 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO, IL GARANTE

ritenuto che il trattamento in parola risulta necessario per l´esercizio delle funzioni proprie di Sogei, lo autorizza,  invitando codesta società:

a) ad individuare tassativamente il novero delle fattispecie di reato oggetto di verifica rispetto alle esplicitate finalità, con riguardo a reati di particolare gravità e con particolare riferimento ai delitti contro il patrimonio e ai delitti contro la personalità interna dello Stato;

b) a valutare l´opportunità di procedere ad una ulteriore specificazione dell´ambito soggettivo del trattamento rispetto alla specifica tipologia di incarichi, funzioni o ruoli assegnati alle figure dirigenziali come definite dalla società.

Roma, 19 gennaio 2017

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia